Могут ли помочь власти при атаке шифровальщиков?

Как Colonial Pipeline удалось лишить злоумышленников доступа к похищенным данным.

Один из самых резонансных инцидентов с вымогателями-шифровальщиками за последнее время — недавняя атака на Colonial Pipeline, компанию, снабжающую топливом изрядную часть восточного побережья США. Детали этой атаки по понятным причинам не разглашаются, однако обрывки информации просачиваются в СМИ — и из этой информации можно извлечь как минимум один урок: если своевременно обратиться в правоохранительные органы, есть шанс уменьшить ущерб от атаки. Разумеется, выбор есть не у всех — в некоторых странах жертва обязана проинформировать регулятора. Однако даже там, где это необязательно, такое обращение может оказаться небесполезным.

Чем может помочь обращение к властям

Современные вымогатели не только шифруют данные и требуют выкуп за расшифровку, но и воруют информацию из корпоративной сети, чтобы шантажировать еще и их публикацией. Именно так поступили преступники в случае с Colonial Pipeline — злоумышленники выкачали порядка 100 гигабайт данных из сети компании.

Однако, по информации Washington Post, внешние эксперты, проводящие расследование инцидента, быстро разобрались в случившемся, выяснили, куда были скопированы похищенные данные, и связались с ФБР. Федералы, в свою очередь, обратились к провайдеру, на сервер которого была загружена эта информация, и добились изоляции сервера. В результате киберпреступники могли лишиться доступа к серверу с похищенной у Colonial Pipeline информацией, а сама Colonial Pipleine таким образом, возможно, смогла смягчить последствия утечки.

Разумеется, это не отменяет того факта, что основные трубопроводы Colonial Pipeline до сих пор не работают. Ущерб нанесен немалый, однако очевидно, что если бы данные остались в руках преступников, то он мог бы быть еще большим.

Что произошло в Colonial Pipeline, и каковы последствия инцидента

В пятницу 7 мая компания Colonial Pipeline, поддерживающая крупнейший на восточном побережье США трубопровод для передачи топлива, подверглась атаке шифровальщика. Сотрудники компании были вынуждены приостановить работу информационных систем, частично из-за того, что некоторые компьютеры были зашифрованы, а частично — чтобы предотвратить распространение заразы. Это вызвало задержки в поставках топлива по восточному побережью и привело к тому, что фьючерсы на бензин выросли на 4%. Для смягчения ущерба даже планируется увеличение поставок горючего при помощи автоцистерн.

Компания продолжает восстановление своих систем, но, по информации источников блога Zero Day, проблема может быть не столько в технологических сетях, сколько в системе биллинга. Пока она не будет восстановлена, Colonial Pipeline не сможет автоматически выставлять счета своим клиентам.

Кто атаковал Colonial Pipeline

По всей видимости, компания была атакована при помощи вредоносного ПО DarkSide. Шифровальщики DarkSide могут работать как под Windows, так и под Linux (продукты Kaspersky детектируют его как Trojan-Ransom.Win32.Darkside and Trojan-Ransom.Linux.Darkside). В них используются надежные алгоритмы шифрования, так что вернуть данные без ключа возможным не представляется.

Злоумышленники, стоящие за DarkSide, выкладывают похищенные данные на площадке DarkSide Leaks в даркнете. Недавно мы писали о том, что эта группировка со стороны выглядит как полноценный провайдер онлайн-сервиса — со службой техподдержки, пиар-отделом и пресс-центром. На сайте злоумышленников незамедлительно появился дисклеймер о том, что они не преследуют политических целей, а просто пытаются заработать денег.

Реакция DarkSide на публикации в прессе

DarkSide работает по системе Ransomware-as-a-service — предлагают свое ПО и сопутствующую инфраструктуру, а непосредственно атаки совершают их партнеры, которые самостоятельно ищут пути распространения зловреда. За выбор Colonial Pipeline в качестве цели как раз и был ответственен один из таких партнеров. По словам преступников из Darkside, они не хотели столь серьезных социальных последствий атаки и впредь будут тщательнее изучать жертв, намечаемых «посредниками». Впрочем, не факт, что это утверждение правдиво — весьма вероятно, что это очередной пиар-трюк вымогателей.

Как защититься от атак шифровальщиков

Чтобы обезопасить вашу компанию от атак с использованием программ-вымогателей, специалисты «Лаборатории Касперского» рекомендуют:

  • Запретить подключаться к службам удаленного рабочего стола (таким как RDP) из общественных сетей, если в этом нет серьезной необходимости, и всегда использовать надежные пароли для таких служб.
  • Оперативно устанавливать доступные исправления для коммерческих VPN-решений, обеспечивающих подключение удаленных сотрудников и выступающих в качестве шлюзов в вашей сети.
  • Всегда обновлять программное обеспечение на всех используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей.
  • Сосредоточить стратегию защиты на обнаружении горизонтальных перемещений и эксфильтрации данных в Интернет. Обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации киберпреступников.
  • Регулярно выполнять резервное копирование данных. Убедиться, что в экстренной ситуации вы можете быстро получить доступ к бэкапу.
  • Использовать актуальные данные Threat Intelligence, чтобы оставаться в курсе современных тактик, техник и процедур (TTP), используемых злоумышленниками.
  • Использовать защитные решения, которые помогают выявить и остановить атаку на ранних стадиях, например Kaspersky Endpoint Detection and Response и Kaspersky Managed Detection and Response.
  • Обучать и инструктировать своих сотрудников по вопросам обеспечения безопасности корпоративной среды. В этом могут помочь специализированные курсы, которые можно найти, например, на платформе Kaspersky Automated Security Awareness Platform.
  • Использовать надежное решение для защиты рабочих мест, такое как Kaspersky Endpoint Security для бизнеса, в котором реализован механизм противодействия эксплойтам, а также функции обнаружения аномального поведения и восстановления системы, позволяющие выполнить откат в случае вредоносных действий.

Ну и, как показывает пример с Colonial Pipeline, имеет смысл обращаться за помощью к правоохранительным органам, причем чем раньше, тем лучше. Гарантий это, конечно, не дает, но иногда позволяет значительно уменьшить возможный ущерб.

Советы